VietNetwork.Vn

Một số tác nhân đe dọa chưa xác định đã bị phát hiện đang cố gắng khai thác lỗ hổng bảo mật hiện đã được vá trong phần mềm webmail Roundcube nguồn mở như một phần của cuộc tấn công lừa đảo được thiết kế để đánh cắp thông tin đăng nhập của người dùng.

Công ty an ninh mạng Nga Positive Technologies cho biết họ đã phát hiện ra vào tháng trước rằng một email đã được gửi đến một tổ chức chính phủ không xác định có trụ sở tại một trong những quốc gia thuộc Cộng đồng các quốc gia độc lập (CIS). Tuy nhiên, cần lưu ý rằng tin nhắn ban đầu được gửi vào tháng 6 năm 2024.


"Email này có vẻ như là một tin nhắn không có văn bản, chỉ chứa một tài liệu đính kèm", báo cáo phân tích được công bố đầu tuần này cho biết.

"Tuy nhiên, ứng dụng email không hiển thị tệp đính kèm. Nội dung email chứa các thẻ đặc biệt với câu lệnh eval(atob(...), giải mã và thực thi mã JavaScript."

Theo Positive Technologies, chuỗi tấn công là một nỗ lực khai thác CVE-2024-37383 (điểm CVSS: 6.1), một lỗ hổng mã hóa chéo trang web ( XSS ) được lưu trữ thông qua các thuộc tính hoạt hình SVG cho phép thực thi JavaScript tùy ý trong bối cảnh trình duyệt web của nạn nhân.

Nói cách khác, kẻ tấn công từ xa có thể tải mã JavaScript tùy ý và truy cập thông tin nhạy cảm chỉ bằng cách lừa người nhận email mở một tin nhắn được thiết kế đặc biệt. Vấn đề này đã được giải quyết trong phiên bản 1.5.7 và 1.6.7 tính đến tháng 5 năm 2024.


Positive Technologies lưu ý: "Bằng cách chèn mã JavaScript làm giá trị cho "href", chúng tôi có thể thực thi mã này trên trang Roundcube bất cứ khi nào máy khách Roundcube mở email độc hại".

Trong trường hợp này, tải trọng JavaScript lưu tệp đính kèm Microsoft Word trống ("Road map.docx"), sau đó tiến hành lấy tin nhắn từ máy chủ thư bằng plugin ManageSieve. Nó cũng hiển thị biểu mẫu đăng nhập trong trang HTML hiển thị cho người dùng nhằm đánh lừa nạn nhân cung cấp thông tin xác thực Roundcube của họ.

Ở giai đoạn cuối, thông tin tên người dùng và mật khẩu đã thu thập được sẽ được truyền đến một máy chủ từ xa (" libcdn[.]org ") được lưu trữ trên Cloudflare.

Hiện vẫn chưa rõ ai là người đứng sau hoạt động khai thác này, mặc dù các lỗ hổng trước đây được phát hiện trong Roundcube đã bị nhiều nhóm tin tặc như APT28, Winter Vivern và TAG-70 lợi dụng.

"Mặc dù webmail Roundcube có thể không phải là ứng dụng email được sử dụng rộng rãi nhất, nhưng nó vẫn là mục tiêu của tin tặc do được các cơ quan chính phủ sử dụng rộng rãi", công ty cho biết. "Các cuộc tấn công vào phần mềm này có thể gây ra thiệt hại đáng kể, cho phép tội phạm mạng đánh cắp thông tin nhạy cảm".